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摘 要 : [目的 /意义 ] 从 政策 的 角度 
府 保护 公民 隐私 提供 工具 。 


,调查 加 拿 大 隐私 影响 评估 的 政策 支持 ,为 我 国 隐私 影响 评估 政策 制定 提供 参考 ,为 政 
[方法 /过 程 ] 利用 文献 调研 和 人 案例 分 析 的 研究 方法 ,以 加 拿 大 为 例 , 通 过 对 文献 资料 


和 网 站 内 容 的 调查 ,获取 一 手 资料 阐述 加 拿 大 隐私 影响 评估 政策 的 发 展 历 程 ,对 政策 目标 .政策 主体 、 政 策 内 容 进 


行 梳理 ,并 在 此 基础 上 分 析 加 拿 大 隐私 影响 评估 政策 的 优势 和 不 足 。| 结果 


尽早 制定 PIA 政策 、 加 强 PIA 政策 
关键 词 : 隐私 影响 评估 ”加拿大 政府 开放 数据 
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认同 的 建议 。 


隐私 风险 


/结论 ] 提出 提高 政策 执行 人 员 技 能 


忆 ) 随 着 信息 通信 技术 的 快速 发 展 , 它 提供 了 许多 可 
能 币 并 产生 了 许多 优势 。 个 人 电脑 和 电信 网络 的 使 用 
提 遍 了 服务 效率 ,促使 我 们 的 日 常生 活 变 得 更 加 便捷 。 
然 冰 ,技术 也 为 个 人 隐私 和 自由 带 来 了 新 危险 ,如 许多 
下 ,传播 的 数据 涉及 自然 人 ,与 个 人 数据 相关 的 数 
据 齐 或 文件 被 创建 使 用 披露. 出售, 使 得 很 难 知道 谁 
拥有 数据 以 及 这 些 人 在 做 什么 。 个 人 不 再 能 够 控制 他 
们 驳 数 据 ,使 得 滥用 的 风险 也 在 增加 。 因 此 ,需要 对 数 
手 偿 理 进行 分 析 , 以 确定 相应 风险 和 影响 。 作 为 一 种 
政府 工具 ,隐私 影响 评估 ”( privacy impact assessment, 
PI 否 能 评估 数据 控制 者 的 活动 对 数据 保护 和 个 人 隐私 
HIRSU ,可 以 最 大 程度 地 降低 潜在 风险 ,并 为 数据 控制 
者 和 数据 主体 在 行使 其 权利 和 自由 时 营造 更 安全 的 环 
境 。 至 少 从 20 世纪 80 年 代 开始 , 随 着 针对 技术 的 政 
策 性 辩论 的 出 现 ,从 而 提出 了 PIA 这 一 概念 。 通 过 将 
“PIA” 和 “政策 ”两 个 子 概念 结合 得 出 ,PIA 政策 是 指 
政党 ,行政 机 关 及 相关 政治 团体 为 实现 隐私 影响 评估 
而 确定 的 相关 指南 和 准则 ,包括 规章 、 指 令 、 高 级 官员 
的 演讲 和 指示 等 。 之 所 以 选择 加 拿 大 作为 PIA 政策 的 
案例 研究 ,原因 在 于 :一 方面 ,从 国内 研究 情况 来 看 , 尽 
管 有 学 者 围绕 中 外 PIA 标准 进行 研究 " ,解析 欧盟 《 通 
用 数据 保护 条 例 》( General Data Protection Regulation , 
GDPR) 中 数据 保护 影响 评估 制度 的 相关 规定 ,对 


PIA 的 缘起 .价值 .实施 进行 了 研究 ,但 尚未 对 加 拿 

大 PIA 政策 进行 系统 研究 ; 另 一 方面 ,从 实践 的 角度 来 

看 ,加 拿 大 的 PIA 政策 相对 比较 完善 。 因 此 ,笔者 通过 

梳理 加 拿 大 PIA 政策 的 发 展 历程 ,分 析 其 政策 内 容 , 探 

讨 政策 的 优 缺 点 ,以 期 为 我 国 个 人 隐私 保护 和 大 数据 
治理 工作 提供 参考 。 


1 加拿大 PIA 政策 发 展 历程 


从 时 间 顺 序 来 划分 发 展 历程 ,能 清楚 呈现 PIA 政 
策 的 变化 轨迹 ,并 较为 深刻 地 分 析 其 背后 的 观念 转变 。 
但 是 ,时 间 只 是 政策 演变 的 外 在 表现 ,并 不 是 政策 演变 
的 本 质 ,因而 也 应 当 关 注 其 发 展 程度 。 因 此 ,笔者 从 时 
间 顺 序 并 结合 发 展 程度 ,将 加 拿 大 PIA 政策 发 展 历程 
划分 为 3 个 阶段 。 
1.1 准备 阶段 

2000 年 5 月 ,隐私 专员 办 公 室 (Office of the Priva- 
cy Commissioner of Canada, OPC ) 发 布 《提交 给 议会 的 
年 度 报告 1999 - 2000》, 强调 了 隐私 关注 不 够 所 带 来 
的 后 果 : 巨 大 的 个 人 数据 库 、 强 大 的 计算 机 系统 以 及 与 
省 级 社会 计划 和 私营 部 门 之 间 不 断 增 长 的 联系 相 结 
合 , 引 起 了 人 们 对 隐私 的 极 大 关注 ,但 如 果 政 府 没有 适 
当地 评估 和 减轻 这 种 担忧 ,或 者 没有 预料 到 公众 对 该 
计划 的 负面 反应 ,最 终 会 导致 更 大 损失 。 尽 管 这 一 文 
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件 所 述 情况 发 生 在 以 前 ,但 它 反映 了 联邦 政府 内 部 隐 
私 保护 的 开创 性 时 刻 , 针 对 不 良 隐私 计划 带 来 的 风险 
提供 了 一 个 关键 示例 ,而 且 对 PIA 过 程 进行 概述 ,详情 
如 表 1 所 示 : 


X1 PIA zx 
主体 ”进行 评估 的 最 佳 主体 应 该 是 提出 建议 的 公共 或 私营 部 门 。 尽 管 
数据 保护 和 隐私 专员 具有 专业 知识 ,但 没有 谁 比 设计 产品 或 服务 
的 人 更 了 解 详 细 的 建议 。 它 们 最 适合 回答 评估 提出 的 问题 。 但 
是 ,为 了 保证 评估 的 客观 性 ,评估 主体 应 咨询 受 影响 的 加 拿 大 人 ， 
将 完成 的 评估 交 给 独立 的 隐私 专家 进行 审核 ,然后 将 完成 的 评估 
提供 给 公众 
时 间 ”从 逻辑 上 讲 , 评 估 应 该 是 提案 设计 阶段 的 一 部 分 ,并 且 在 组 织 决 
定 检查 其 可 行 性 时 应 立即 进行 评估 。 尽 管 可 能 在 实施 提案 之 前 
完成 一 些 评估 ,但 有 些 评估 可 能 会 在 实施 期 间 继续 进行 。 还 有 一 

些 评估 可 能 永 无 止境 ,而 且 也 是 质量 控制 不 可 或 缺 的 一 部 分 
虽然 每 次 评估 都 会 随 每 个 提案 的 情况 和 性 质 而 有 所 不 同 ,但 都 应 


pzh 
En 


拿 大 人 的 隐私 期 望 进行 评 


Assessment ,PPIA) 和 PIA 内 容 的 模型 表 。 这 一 政策 使 
得 PLA 能 确保 隐私 原则 和 立法 在 新 计划 、 服 务 或 计划 
的 整个 生命 周期 中 得 到 考虑 和 遵守 ,并 且 在 适当 的 情 
况 下 ,对 于 正在 进行 的 服务 进行 转型 或 重新 设计 现 有 
计划 。 在 加 拿 大 政府 ,多 阶段 评估 由 过 去 非 正式 政策 
转变 为 正式 政策 。 具 体 而 言 , 这 个 过 程 包括 一 个 初步 
的 隐私 影响 评估 和 以 后 的 完整 隐私 影响 评估 。PPIA 
不 会 像 PIA 那样 全 面 , 但 将 用 于 向 部 门 项 目 经 理 表 明 
提案 是 否 存在 重大 隐私 风险 "'”。PPIA 有 点 像 筛 选 工 
具 , 但 也 是 一 种 缩写 PIA ,类 似 于 其 他 司法 管辖 区 的 隐 
私 扫描 或 隐私 影响 声明 。 

2002 年 8 月 ,加 拿 大 发布 (PPIA 模型 》, 这 是 针对 
PPIA 和 PIA 标准 化 生产 的 电子 模板 (PIA 报告 模 
板 )”。2003 4E 3 月 ,加 拿 大 发 布 《PIA 最 佳 实践 报 
告 》, 确 定 在 部 门 日 常 运营 中 实施 PIA 政策 和 指南 的 实 


下 要 素 : 四 提案 :组织 应 彻底 描述 提案 ， 
间 表 ,提供 背景 信息 ,并 概述 提案 的 范 


每 次 评估 应 处 理 并 记录 L 
详细 说 明 其 组 成 部 分 和 由 
围 ( 谁 以 及 将 影响 什么 ) ;@) 影 响 : 组 织 应 描述 该 提案 对 加 拿 大 人 
隐私 的 正面 和 负面 影响 ,包括 每 种 影响 的 累积 性 质 ,以 及 其 持续 
ü 
jl 


AM 
| 
国际 公认 的 信息 隐私 原则 、 适 用 的 隐私 保护 法 律 以 及 受 影响 
5 
yi 
ĵ 


=。 时间 ,频率 ,强度 .概率 和 范围 ,然后 对 每 种 影响 进行 分 级 ,如 低 、 
守 于 中 或 高 ;@ 必 要 性 ;组织 应 证 明 提案 本 身 、 时 间 安排 和 负面 影响 的 
CC 必要 性 (商业 利益 除外 ) ;@ 合 规 性 :组 织 应 根据 国际 公认 的 隐私 
C 原则 .适用 的 隐私 保护 法 律 以 及 受 影响 加 拿 大 人 的 隐私 期 望 来 评 
NI 1 EZ SORRI 案 和 解决 方 案 : 组 织 应 同时 确定 可 以 避免 上 
合 规 性 问题 的 替代 方案 ,以 及 可 以 消除 或 碱 轻 影响 或 合 
性 问题 的 解决 方案 


gu 


272002 年 5 月 ,加 拿 大 政府 颁布 (隐私 影响 评估 政 
APT f PIA 政策 ) 5 ,要 求 对 所 有 会 增加 隐私 风险 
的 哎 府 行动 进行 PIA ,并 将 分 析 结果 以 及 为 解决 已 发 
现 全 风险 而 建议 采取 的 措施 与 OPC 共享 ,以 供 审核 和 


计划 、 服 务 和 方案 的 设计 、 实 施 和 发 展 过 程 中 会 引起 隐 
私 问题 的 计划 和 服务 而 提出 建议 时 ,将 考虑 隐私 原则 。 
该 政策 涉及 政策 要 求 . 作 用 和 问 责 制 、 监 测 和 监督 , 规 
定 了 PIA 的 开发 和 维护 ,并 要 求 政府 机 构 将 PIA 的 结 
果 告 知 隐私 专员 和 公众 。 

2002 年 8 月 ,加拿大 颁布 《PIA 指南 :管理 隐私 风 
险 的 框架 》( 简称 PIA 指南 )” ,包含 旨 在 为 完成 PIA 
提供 全 面 框架 的 指南 ,长 达 40 页 ,分 为 六 章 , 包 括 引 
A HÉ PIA 程序 流程 概述 、 详 细 流 程 描述 、 隐 私 影 
响 分 析 报 告 。 具 体 而 言 ,完成 PIA 的 框架 包括 : 何 时 需 
要 PIA 的 检查 表 ;PIA 目标 ;过 程 概述 ( 资源 需求 .记录 
数据 流 、 隐 私 分 析 、 隐 私 影 响 分 析 报 告 \ 应 对 风险 ) ; 联 
邦 项 目 和 服务 的 问卷 调查 ;针对 跨 区 域 项 目 和 服务 提 
供 进行 问卷 调查 ;初步 PIA ( Preliminary Privacy Impact 


用 技巧 和 最 佳 实践 ”。2003 年 10 月 ,加 拿 大 发 布 
(PIA 电子 学 习 工 具 》" ,包括 3 个 方面 内 容 :中 概述 模 
块 ,对 加 拿 大 隐私 权 的 基本 原则 进行 回顾 ,并 讨论 隐私 
权 保 护 程序 的 基本 原理 ,包括 关键 隐私 定义 、 加 拿 大 隐 
私立 法 和 政策 回顾 、PIA 的 主要 特点 和 益处 、PIA 流程 
概述 和 PIA 涉及 的 主要 利益 相关 者 ;@ 管 理 或 监督 模 
块 , 旨 在 审查 与 PIA 相关 的 关键 概念 ,如 立法 和 政策 以 
及 关键 利益 相关 者 ,但 比 前 面 所 述 的 概述 模块 更 详细 
地 审查 整个 PIA 过 程 ,包括 从 参与 PIA 项 目的 加 拿 大 
政府 人 员 的 “最 佳 实践 ”中 获取 的 技巧 ,协调 和 监督 
PIA 项 目 ;(3) 对 PPIA 或 PIA 进程 提供 逐步 审查 ,如 怎 
样 写 报 告 的 执行 摘要 或 如 何 使 用 文件 更 改 控 制 表 
( document change control table ) ,以 及 填写 联邦 计划 和 
服务 调查 问卷 , 而且 还 提供 转向 《隐私 法 》(Privacy 
Act) 《个 人 信息 保护 与 电子 文件 法 》( Personal In- 
formation Protection and Electronic Documents Act , PIPE- 
DA) ,其 至 关键 术语 定义 等 内 容 的 链接 。 

这 一 阶段 主要 侧重 于 政策 规划 及 形成 , 即 隐私 保 
护 这 一 问题 发 生 政策 问题 认定 及 规划 方案 ,并 将 方案 
予以 合法 化 ,而 产生 正式 政策 的 过 程 。 例 如 ,隐私 专员 
办 公 室 发 布 报告 , 自 上 而 下 推动 ,提出 隐私 保护 这 一 政 
策 问 题 ,很 快 被 政府 所 接纳 ,并 积极 推进 。 
1.2 实施 阶段 

2004 年 5 月 ,加 拿 大 发 布 《PIA 审计 指南 》, 包 括 几 
个 方面 内 容 :介绍 政策 要 求 以 及 相关 信息 和 关键 来 源 ， 
以 了 解 PLA 过 程 的 基本 知识 ;提供 背景 信息 ,以 扩大 读 
者 对 完成 .审查 和 批准 PIA. 所 涉及 的 关键 利益 相关 者 
责任 的 理解 ;提出 审计 目标 和 标准 内 部 审计 师 可 以 使 
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用 基于 风险 的 审计 方法 制定 定制 的 审计 计划 ”。 
2008 年 4 月 1 日 《社会 保险 号 码 (SIN) 指 令 》 生 

效 ,取代 了 1993 年 所 颁布 的 《隐私 和 数据 保护 政 

策 》” 中 的 “与 社会 保险 号 码 相关 的 政策 要 求 " 的 内 


1.3 发 展 阶段 

2020 4Æ£ 3 H 13 日 至 2020 年 9 月 30 日 《隐私 保 
护 临时 政策 》 生效 ,取代 了 2018 年 7 月 1 日 发 布 的 
《隐私 保护 政策 》。 根 据 该 文件 第 4.2.14 条 ,政府 机 构 


容 。1993 年 ,加拿大 颁布 《隐私 和 数据 保护 政策 》, 该 
政策 的 目标 是 :确保 政府 机 构 有 效 和 一 致 地 适用 《隐私 
法 ) 和 《隐私 条 例 》( Privacy Regulations) ”的 规定 ; 确 
保 用 于 行政 目的 的 个 人 信息 的 数据 匹配 和 数据 链接 符 
合 上 述 法 律 的 要 求 ;将 为 行政 目的 征收 和 使 用 社会 保 
险 号 码 (SIN ) 的 范围 限制 在 特定 法 案 .法规 和 方案 允 
许 的 范围 内 ,并 为 其 设 定 征收 条 件 。《 社 会 保险 号 码 
(SIN) 指 令 》 的 附录 B 部 分 规定 了 获得 政策 批准 的 三 
个 步骤 :初步 评估 、 分 析 和 咨询 .寻求 批准 。 在 第 二 # 

提 和 到 ,在 寻求 财政 委员 会 主席 ( President of the Treasury 


负责 人 确保 在 适用 时 制定 、 维 护 和 发 布 PIA 和 多 机 构 
PIA ;但 是 ,在 紧急 的 新 型 冠状 病毒 肺炎 (COVID-19) 相 
关 倡 议 下 ,副职 领导 或 其 助理 副职 代表 可 以 行使 酌 处 
权 , 针 对 新 的 或 经 过 实质 性 修改 的 方案 完成 隐私 合 规 
性 评估 ,以 代替 进行 完整 的 PIA。 如 果 针 对 在 2020 年 
12 月 31 日 之 后 继续 进行 的 计划 行使 自由 裁量 权 ,那么 
必须 在 2021 年 6 月 30 日 之 前 完成 完整 的 PIA。 

2020 年 3 月 13 日 至 2020 年 9 月 30 日 《隐私 惯 
例 暂行 指令 》'"" 生效 ,取代 了 2014 年 5 月 6 日 发 布 的 
《隐私 惯例 指令 》。 根 据 该 文件 第 6. 1.4 条 ,政府 机 构 


Board) 的 批准 之 前 ,需要 进行 以 下 过 程 :向 财政 委员 会 
HAE ( Treasury Board of Canada Secretariat , TBS) 的 信 
STAAR EI PERE — (0) 53 clc See PIA 报 
eel is AIMED BRE) 58:6. 2. 12 条 和 《隐私 法 ) 第 9 
(499 ,通知 隐私 专员 。 

©2010 年 4 月 1 日 ,加 拿 大 财政 委员 会 秘书 处 颁布 
页 关于 PIA 的 新 指令 《PIA 484) 7 。 该 指令 取 
ICD E 2002 年 5 月 2 日 生效 的 《PIA 政策 》 和 1993 年 
所 席 布 的 (隐私 和 数据 保护 政策 ) 中 的 数据 匹配 部 分 。 
这 穴 新 指令 适用 于 政府 机 构 , 但 不 适用 于 新 立法 的 制 
ZH 48 th ,加 拿 大 政府 致力 于 确保 :隐私 保护 是 
涉 此 个 人 信息 的 计划 和 活动 的 初始 制定 和 后 续 管 理 的 


POESIE TRE 
C011 年 3 月 ,隐私 专员 办 公 室 ( OPC ) Rhi T — i 
指导 文件 (期 望 :向 加 拿 大 隐私 专员 办 公 室 提交 PIA 的 
者 南 》, 以 阐明 当 机 构 提 交 最 终 的 PIA 报告 时 ,其 对 政 
府 应 提供 的 信息 类 型 和 深度 的 期 望 。 尽 管 加 拿 大 财政 
部 秘书 处 制定 的 政策 要 求 提供 PIA, 但 隐私 专员 呼 呈 
将 法 律 ( 隐 私法 》 作 为 一 项 更 广泛 的 改革 的 一 部 分 ,而 
是 要 求 进行 这 项 改革 。 隐 私 专员 支持 《PIA 指令 》, 但 
认为 将 其 转化 为 法 律 ,那么 会 具有 更 强 的 效力 。 

这 一 阶段 不 仅 关注 PIA 政策 问题 的 性 质 、 政 策 目 
标 ,以 及 政策 方案 的 可 行 性 及 可 能 后 果 , 而 且 还 关注 
PIA 政策 与 隐私 保护 法 之 间 的 互动 。 政 策 与 法 律 之 间 
相互 联动 ,呈现 出 一 体 两 面 的 互动 关系 。 一 方面 ,政策 
法 律 化 即 政策 转换 成 立法 :将 PIA 政策 立法 ; 另 一 方 
面 ,试图 通过 法 律 ( 隐 私法) 来 影响 ,改变 人 们 的 制度 
性 行为 ,使 人 们 的 行为 朝 着 决策 者 .立法 者 所 希望 的 方 
向 发 展 , 即 法 律 是 实现 PIA 政策 目标 的 工具 。 


负责 人 要 向 财政 委员 会 秘书 处 提交 每 个 新 PIB( 个 人 
TEJE) 的 注册 或 终止 现 有 PIB 的 请 求 ,并 确保 请 求 随 

附 以 下 信息 :在 要 求 注册 新 的 PIB 的 情况 下 ,该 法 案 第 
11(1)(a) (i) 至 (vi) 项 中 所 述 的 PIB 的 所 有 要 素 ,以 及 
已 完成 并 获得 批准 的 核心 隐私 影响 评估 。PIB 是 指 个 
人 信息 的 集合 或 分 组 。 

2020 年 3 月 13 日 至 2020 年 9 月 30 日 ,《PIA 暂行 

站 令 》"" 生 效 ,取代 《PIA 指令 》。 

2020 年 3 月 《期望 : 向 加 拿 大 隐私 专员 办 公 室 提 
交 PIA 的 指南 》 这 一 文件 得 到 更 新 ,作为 PIA 流程 的 一 
部 分 而 为 联邦 公共 部 门 机 构 提 供 了 有 关 如 何 遵守 《 隐 
私法 》 和 有 效 管理 隐私 风险 的 指南 。 它 提出 了 关键 概 
念 , 并 提出 了 机 构 如 何 评估 其 计划 和 活动 ,包括 要 考虑 
的 法 律 要 求 和 隐私 原则 。 

随 着 信息 技术 的 发 展 ,需要 对 原 有 PIA 政策 进行 
完善 ,并 发 挥 PIA 政策 援 动 和 引导 作用 。 因 此 ,这 个 阶 
段 关 注 对 PIA 政策 进行 调整 ,从 而 不 仅 能 协调 政策 目 
标 与 政策 方案 的 关系 ,还 能 够 保证 PIA 政策 的 连贯 性 。 
具体 而 言 ,加 拿 大 PIA 政策 调整 有 不 同 的 形式 ,如 政策 
撤换 (《 隐 私 保 护 临时 政策 《隐私 惯例 暂行 指令 》《PIA 
暂行 指令 》) 及 政策 更 新 (《 期 望 : 向 加 拿 大 隐私 专员 办 
公 室 提交 PIA 的 指南 》) 。 


2 WEA PIA 政策 体系 分 析 


2.1 政策 目标 

PIA 的 特定 目标 包括 :与 公民 建立 信任 和 信心 ; 增 
进 对 隐私 问题 的 认识 和 了 解 ;确保 隐私 保护 是 项 目 目 
标 和 活动 的 初始 框架 中 的 关键 考虑 因素 ;确定 对 隐私 
问题 的 明确 责任 制 ;减少 在 计划 或 服务 实施 后 必须 终 
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陈 美 , 梁 乙 凯 . 加 拿 大 隐私 影响 评估 政策 :历程 .内容 、 分 析 与 启示 [可 .图 书 情报 工作 ,2021 ,65(17):142 - 151. 


止 或 进行 实质 性 审核 以 符合 隐私 要 求 的 风险 ;为 决策 


文件 法 》(PIPEDA ) 两 项 联邦 隐私 法 ,这 两 部 法 律 规定 


者 提供 必要 的 信息 ,以 便 他 们 根据 对 隐私 风险 的 了 解 
以 及 减轻 这 些 风险 的 选择 来 做 出 明智 的 政策 、 系 统 设 
计 或 采购 决策 ;提供 有 关 业 务 流程 和 个 人 信息 流 的 基 
本 文档 , 供 部 门 工作 人 员 共 同 使 用 和 查看 ,并 作为 与 利 
益 相关 者 进行 磋商 的 基础 ” 。 
2.2 政策 主体 

不 同 的 政策 主体 可 以 参与 制定 PIA 政策 。 这 些 主 
体 从 对 隐私 保护 问题 的 感知 开始 ,使 其 成 为 政府 行动 
的 问题 ,将 其 列 入 政府 的 议程 以 供 考 虑 ,最 后 确保 相关 
的 政府 行动 ,而 且 所 有 这 些 都 需要 以 政府 行动 的 形式 
让 利益 相关 者 参与 。 就 加 拿 大 而 言 ,隐私 专员 办 公 室 
(OPC) 和 财政 委员 会 (Treasury Board ) 是 PIA. 政策 主 
Az DU T fif PLA 在 推动 本 国 发 展 目标 方面 的 作用 ,而 
目 实 施 相 关 政策 。 


CJ 


20 隐私 专员 办 公 室 ( OPC) 


CLOPC 不 仅 为 个 人 提供 有 关 个 人 信息 保护 的 建议 和 
信息 ,而 且 还 执行 《隐私 法 》 和 《个 人 信息 保护 与 电子 


E 


ef 表 2 OPC 关于 PIA 的 演讲 


了 联邦 政府 机 构 和 某 些 企业 必须 如 何 处 理 个 人 信息 的 
规则 "”。 例 如 《隐私 法》 涵盖 了 联邦 政府 如 何 处 理 个 
人 信息 ;PIPEDA 是 加 拿 大 的 私营 部 门 隐 私法 ,涵盖 企 
业 如 何 处 理 个 人 信息 。 根 据 《 隐 私法 》"" ,加 拿 大 隐私 
专员 有 权 检 查 受 该 法 案 约 束 的 政府 机 构 对 个 人 信息 的 
收集 .使 用 ,披露 以 及 保留 和 处 置 。 可 见 , 隐 私 专 员 是 
执行 隐私 立法 要 求 的 核心 人 物 ,负责 保护 和 促进 加 拿 
大 境内 个 人 的 隐私 权利 。 为 了 确保 对 提议 或 重新 设计 
的 程序 和 服务 固有 的 隐私 影响 有 全 面 和 最 新 的 了 解 ， 
OPC 的 代表 还 要 参与 PPIA 或 PIA 的 最 早 开发 阶段 。 
通过 与 机 构 官员 合作 审查 文档 ,他 们 可 以 为 机 构 提 供 
建议 和 指导 ,并 确定 那些 旨 在 应 对 潜在 隐私 风险 的 解 
决 方案 。 在 收 到 最 终 的 PIA 后 ,隐私 专员 可 以 酌情 向 
机 构 负 责 人 或 副职 领导 提供 建议 5 。 为 了 推动 PIA 政 
策 , 加 拿 大 隐私 专员 或 其 工作 人 员 针 对 PIA 发 表 了 一 
系列 讲话 ,如 表 2 所 示 : 


ÀT 


E uH 演讲 者 演讲 题目 - 

f 2 年 5 月 8 日 隐私 影响 评估 代理 总 监 Claude Beaulé 《隐私 影响 评估 》[201 —Ó—M 

E04 F3 J] 10 日 “隐私 专员 Stuart Bloomfield 《隐私 影响 评估 的 作用 》[21] 政府 信息 管理 第 一 届 年 度 论坛 

Gb E928 H MANBA Chantal Demi 隐私 影响 评估 :隐私 保护 新 形势 下 的 GPS)! — 隐私 信息 管理 局 第 二 届 年 度 隐 私 研讨 全 
2013 年 6 月 18 日 ”助理 隐私 专员 Chantal Bernier 《 面 对 漏 洞 : 作 为 生态 系统 的 隐私 和 安全 》 [3] 2013 年 海事 访问 和 隐私 会 议 
NUR 年 9 月 26 日 助理 隐秘 专员 Chantal Bemier 《基于 风险 的 问 责 制 和 合 规 性 方法 》[241 第 35 届 国 际 数据 保护 和 隐私 专员 会 议 
Em 4:12 H 10 H 隐私 专员 Daniel Therrien 《作为 隐私 倡导 者 一 起 工作 》[25] ATIP 社区 会 议 

3016 年 4 月 20 日 隐私 专员 Daniel Therrien 《隐私 与 网 络 安全 的 互联 世界 》[25] 国家 安全 从 业者 项 目 网 络 安全 会 议 
2020 年 3 月 9 日 。 隐私 专员 Daniel Therrien 《现代 化 联邦 隐私 法 ,以 更 好 地 保护 加 拿 大 人 》[2] 联邦 获得 信息 和 隐私 权 社 区 会 议 


2.82» 财政 委员 会 (Treasury Board) 

对 公共 机 构 进行 PIA 的 关键 主体 是 财政 委员 会 。 
尽管 联邦 立法 没有 明确 规定 应 进行 隐私 权 评估 ,但 它 
们 被 视 为 实现 隐私 权 立 法 规定 合 规 性 的 最 佳 实践 。 如 
前 面 第 1 部 分 所 述 ,根据 这 一 点 ,财政 委员 会 制定 了 一 
些 政策 工具 和 文件 ,包括 PIA 政策 、PIA 指南 PIA 报告 
模板 .PIA 最 佳 实践 报告 .PIA 电子 学 习 工 具 、PIA 审计 
指南 。 实 施 PIA 的 政策 责任 在 于 中 央 机 构 , 即 加 拿 大 
财政 委员 会 秘书 处 (TBS) 。 财 政委 员 会 秘书 处 不 仅 向 
财政 委员 会 提供 建议 ,并 就 政府 如 何在 计划 和 服务 上 
花 钱 、 如 何 监管 以 及 如 何 管理 等 方面 提供 建议 ,而 且 帮 
助 确保 政府 为 加 拿 大 人 明智 而 有 效 地 花费 税 款 ” 。 
财政 委员 会 秘书 处 有 18 个 下 属 部 门 ,负责 政府 隐私 政 
策 的 中 央 机 构 是 隶属 加 拿 大 财政 部 秘书 处 首席 信息 官 
处 的 信息 和 隐私 政策 司 ,负责 管理 和 解释 政策 ,并 向 各 


机 构 、 财 政委 员 会 主席 和 财务 委员 会 提供 建议 。 它 的 
任务 是 制定 和 维持 指导 方针 ,以 协助 各 机 构 执 行 该 政 
策 , 并 负责 监测 遵守 情况 。 根 据 《 金 融 管理 法 》 第 7 条 
(财政 委员 会 的 职责 和 权力 )” 以 及 《隐私 法 ) 第 71 
(1)(d) 条 ,财政 委员 会 主席 是 负责 政府 立法 管理 的 部 
长 。 财 政委 员 会 秘书 处 作为 牵头 机 构 , 在 立法 修正 方 
面 与 司法 部 合作 ,并 在 内 阁 机 密 事务 上 与 隐私 委员 会 
办 公 室 (Privay Council Office) 合作 。 
2.3 政策 内 容 
2.3.1 PIA 指导 原则 

根据 《PIA 暂行 指令 》,PIA 指导 原则 包括 10 条 , 通 
常 称 为 “公平 信息 原则 ”( 见 表 3), 并 在 《4 加拿大 标准 
协会 保护 个 人 信息 的 标准 守则 》 中 得 到 阐明 。 这 些 原 
则 也 被 包含 在 4 个 人 信息 保护 和 电子 文档 法 》(PIPE- 
DA) 中 。 
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表 3 PIA 指导 原则 


指导 原则 内 涵 
DE 组 织 负责 其 控制 的 个 人 信息 ,并 应 指定 个 人 来 负责 确保 组 织 
遵守 以 下 原则 
识别 目的 。 组 织 应 在 收集 信息 时 或 之 前 确定 收集 个 人 信息 的 目的 
同意 除非 有 适当 的 情况 ,否则 收集 、 使 用 或 披露 个 人 信息 需要 征 
得 个 人 的 同意 
限制 收集 ”个 人 信息 的 收集 应 限于 组 织 确定 的 目的 ;信息 应 通过 公平 合 
法 的 方式 得 到 收集 
限制 使 用 ， ”除非 获得 个 人 同意 或 法 律 允 许 , 否 则 不 得 将 个 人 信息 用 于 收 
披露 和 保留 ” 集 目的 之 外 的 目的 或 用 途 ; 仅 在 实现 这 些 目的 所 必需 的 时 间 
内 保留 个 人 信息 
准确 性 ” ”个 人 信息 必须 准确 完整 和 最 新 


7 
保障 措施 。 个 人 信息 应 得 到 适合 其 敏感 性 的 安全 保障 措施 的 保护 
放 性 ”组 织 应 向 个 人 提供 有 关 其 与 个 人 信息 管理 相关 的 政策 和 实 
践 的 特定 信息 
个 人 获 应 告知 个 人 其 个 人 信息 的 存在 、 使 用 和 披露 ,并 应 允许 其 获 
该 信息 。 个 人 应 能 够 质疑 信息 的 准确 性 和 完整 性 ,并 对 划 


进行 适当 的 修改 
TAT 个 人 应 能 够 向 指定 的 一 个 或 多 个 负责 组 织 合 规 性 的 个 人 应 
对 有 关 遵 守 上 述 原则 的 挑战 


2.M2 PIA 流程 
COPIA 指南 :管理 隐私 风险 的 框架 )'" 有 3 个 附件 
提供 了 PIA 目录 .PPIA 目录 和 汇总 表示 例 。PIA 包括 
a. a 
Ming T E Fe UL, MLSRC ELE FL b T 390€ 
m oo 
进行 初步 隐私 影响 评估 (PPIA) 。 一 旦 该 项 目 发 
且 存 在 隐私 风险 ,就 要 求 部 门 和 机 构 进行 完整 的 
PS 在 不 寻常 的 情况 下 也 可 以 进行 初步 的 PIA, 在 这 
些 情况 下 ,在 审查 政策 和 指南 并 获得 专家 建议 后 ,对 于 
PI 的 需求 仍然 不 明确 。PIA 是 一 个 动态 过 程 , 随 着 业 
Ap ELE RU ZEE, PIA 也 应 进行 审查 和 更 新 。 
@ 数 据 流 分 析 。 该 活动 包括 对 提议 所 考虑 的 业务 流 
程 , 体 系 结构 和 详细 数据 流 的 描述 和 分 析 。 此 步骤 的 
目的 是 描述 个 人 信息 流 。@ 隐 私 权 分 析 。 隐 私 分 析 在 
适用 的 隐私 政策 和 法 规 的 背景 下 检查 数据 流 。 问 卷 用 
E 


该 项 目 或 活动 是 否 涉及 个 人 信息 ? 


该 项 目 或 活动 是 否 会 
对 隐私 产生 影响 ， 是 
否 应 评估 和 减轻 潜在 
的 隐私 风险 ? 


可 能 不 需要 PIA 


是 否 将 个 人 信息 用 作 直 接 影响 
个 人 的 决策 过 程 的 一 部 分 ? 


该 项 目 或 活动 是 


作 检 查 清单 ,可 帮助 评估 主体 识别 与 提议 的 方案 相关 
的 主要 隐私 风险 或 漏洞 。 指 南 中 提供 了 两 套 问卷 ,可 
以 参阅 问卷 A 的 附件 中 的 联邦 计划 和 服务 ,以 及 问卷 
B 的 蜂 辖 区 倡议 。 由 隐私 影响 分 析 报 告 。 基 于 先前 步 
又 的 结果 ,这 是 PIA 过 程 的 最 后 也 是 最 关键 的 组 成 部 
分 。 这 是 对 隐私 风险 及 其 风险 的 相关 评估 的 书面 评 
估 , 并 讨论 可 能 的 补救 措施 或 缓解 策略 。 


1 确认 是 否 
需要 PIA 
9. 持 续 监 控 | 2 计划 | 
8. 向 TBS 和 OPC 3. 咨 询 
E") PIA J 


3k à 4 评估 必要 性 和 
| 7 获取 批准 比例 性 


5 识别 和 评估 
sizam | pA | 


1 PIA RE 
注 :TBS 为 财政 委员 会 秘书 处 ;OPC 为 隐私 专员 办 公 室 ;PIA 
为 隐私 影响 评估 


后 来 ,2020 年 3 月 修订 后 的 《期 望 :向 加 拿 大 隐私 
专员 办 公 室 提交 PIA 的 指南 》 对 PIA 流程 进行 更 新 ( 见 
2) ,内 容 包 括 : 确 认 是 否 需 要 PIA; 计 划 ; 咨 询 (包括 
OPC) ;评估 必要 性 和 比例 性 ;识别 和 评估 特定 风险 ; 制 
定 缓解 措施 ;获得 批准 ;向 财政 委员 会 秘书 处 (TBS) 和 
隐私 专员 办 公 室 (OPC ) 报告 ;持续 监控 。 

2.3.3 PIA 适用 情形 

图 2 可 以 帮助 评估 主体 确定 程序 或 活动 的 潜在 隐 
私 影响 ,并 了 解 风 险 级 别 。 基 于 此 评估 ,即使 没有 以 管 
理 目 的 而 使 用 个 人 信息 ,机 构 也 可 以 选择 进行 PIA。 
机 构 应 单独 考虑 每 个 项 目 ,以 决定 是 否 需要 进行 PIA。 


否 已 经 有 PIA? 


可 能 不 需要 更 新 PIA 


2 确定 是 否 需要 执行 PIA 的 流程 ™ 
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此 外 ,根据 《PIA 暂行 指令 》 第 6.3.1 条 ,在 以 下 情 
况 下 要 针对 项 目 或 活动 进行 PIA 当 个 人 信息 用 于 或 
打算 用 作 直接 影响 个 人 的 决策 过 程 的 一 部 分 时 ;在 对 
现 有 项 目 或 活动 进行 实质 性 修改 后 ,将 个 人 信息 用 于 
或 打算 用 于 管理 目的 ;将 项 目 或 活动 外 包 或 转移 到 另 
一 级 政府 或 私营 部 门 时 ,会 对 项 目 或 活动 进行 实质 性 
修改 。 此 外 ,《PIA 暂行 指令 》6. 3. 2 条 还 规定 ,与 负责 
官员 协商 ,确定 一 个 全 新 或 经 过 全 面 修改 的 信息 处 理 
计划 或 活动 是 否 对 隐私 产生 影响 ,并 保证 进行 PIA; 政 
府 机 构 的 隐私 协议 足以 解决 此 类 程序 或 活动 对 隐私 的 
潜在 影响 。 可 见 , 以 上 5 种 情况 需要 考虑 进行 PIA。 
2.3.4 PIA 规制 对 象 

在 加 拿 大 中 央 政 府 层面 ,财政 部 委员 会 的 政策 要 
玲 5 名 部 门 和 机 构 对 所 有 涉及 隐私 问题 的 新 方案 和 服 
务 鲍 提案 进行 PIA。 该 政策 适用 于 《隐私 法 ) 附 表 所 列 
BD EUN BUR] ,但 加 拿 大 银行 除外 。 具 体 而 言 , 这 些 
机 构 包括 加 拿 大 国家 部 门 和 部 委 , 以 及 一 系列 与 政府 
AGI BUR ,包括 大 多 数 皇家 公司 ( 如 加 拿 大 土地 有 限 
公 副 .加 拿 大 邮政 公司 .加拿大 电视 电影 公司 ) ,联邦 机 
椅 Ea1 加 拿 大 交通 局 .加拿大 税务 局 ) 和 其 它 全 部 或 部 
作曲 政府 任命 的 机 构 (如 加 拿 大 小 麦 委 员 会 ) 。 


Sb 拿 大 中 央 政府 PIA 政策 分 析 


完善 政策 法 规 以 加 强 应 用 

在 加 拿 大 ,PIA 是 政策 要 求 ,而 并 非法 律 义务 。 因 
Wh Sc gy PIA 提供 法 律 依据 ,并 通过 完善 法 律 
法 岗 来 提升 PIA 政策 效力 。 例 如 ,根据 《PIA 暂行 指 
令 》3.4 条 ,本 指令 是 根据 《隐私 法 》 第 71(1)(d) 段 和 
第 71(3) 71(4) 71(5) 和 71(6) 条 发 布 的 ;根据 第 3.5 
条 ,本 指令 应 与 4 隐私 法 光 隐 私 条 例 兴 隐私 保护 临时 
政策 光 隐 私 惯例 暂行 指令 》《 隐 私 请 求 和 个 人 信息 更 
IER A) P 以 及 《社会 保险 号 码 指令 》2 一 起 阅读 。 
为 了 提升 法 律 支撑 ,财政 委员 会 秘书 处 还 发 起 并 促进 
与 OPC 就 PIA 政策 事项 进行 磋商 。 例 如 ,PIPEDA 没 
有 规定 要 强制 性 进行 PFA。 类 似 地 ,通常 而 言 ,除非 存 
在 数据 或 信息 匹配 计划 ,否则 新 西 兰 (隐私 法 》 也 并 未 
强制 性 规定 要 进行 PIA?"  。 因 此 ,2020 £1 H28 H, 
加 拿 大 OPC 发 起 了 一 次 磋商 ,在 磋商 中 提出 了 一 些 增 
强 PIPEDA 在 人 工 智能 系统 中 的 应 用 和 监管 的 建议 。 
OPC 建议 提高 法 律 对 透明 度 的 要 求 ,以 授权 进 PIA 的 
要 求 , 包 括 与 AI 处 理 对 隐私 和 人 权 的 影响 有 关 的 评 


f& s 
3.1.2. 专职 专责 强化 监管 力量 

在 加 拿 大 ,PIA 的 法 律 依 据 是 在 部 级 签发 的 文书 ， 
而 且 相 关 PIA. 政策 是 根据 《隐私 法 》 第 71(1) 条 而 发 
布 。《 隐 私法 ?第 71(1) 条 规定 :根据 第 (2)(d) 款 的 规 
定 , 指 定 部 长 应 安排 编制 并 向 政府 机 构 分 发 有 关 本 法 
案 和 条 例 实施 的 指令 和 指南 。 根 据 《 隐 私法 ) 第 3(1) 
条 的 规定 ,财政 委员 会 主席 已 被 指定 为 该 法 某 些 章节 
中 所 指 的 部 长 。 通 过 优化 财政 委员 会 的 专职 专责 ,从 
而 进一步 明确 它 在 PIA 中 管控 工作 的 职责 。 例 如 , 财 
政委 员 会 将 PIA 定义 为 “确定 提议 对 个 人 隐私 的 影响 
以 及 减轻 或 避免 任何 不 利 影响 的 方法 的 过 程 ”。 此 外 ， 
这 个 机 构 也 关注 政策 绩效 ,如 财政 委员 会 秘书 处 在 
(PIA 政策 》 生 效 后 的 5 年 内 对 其 条 款 和 运作 进行 全 面 
审查 ”。 如 此 ,《PIA 政策 》 不 仅 使 机 构 有 责任 证 明 其 
收集 和 使 用 个 人 信息 尊重 1983 年 的 《隐私 法 》 以 及 
2000 年 的 《个 人 信息 保护 和 电子 文档 法 》( PIPEDA ) ， 
而 且 还 责令 政府 机 构 与 公民 进行 交流 为 何 收集 他 们 的 
个 人 信息 、 如何 使 用 和 披露 它们 以 及 如 何 解决 隐私 影 
响 的 问题 。 
3.1.3 注重 多 主体 合作 

加 拿 大 注重 合作 , 如 《 PIA 暂行 指令 》 第 6. 3.4、 
6.3.5,6.3.6,6. 3. 7,6.3. 8 条 针对 涉及 多 个 机 构 的 
PIA 情况 进行 规范 :在 涉及 两 个 或 多 个 政府 机 构 的 项 
目 执行 机 构 的 情况 下 ,该 指令 倾向 于 由 一 个 机 构 牵 头 ， 
并 设想 由 关键 (政府 ) 利 益 相 关 者 组 成 的 部 门 间 协调 
委员 会 。 它 倾向 于 一 个 单一 、 整 体 或 多 机 构 的 项 目 执 
行 机 构 , 而 不 是 由 个 别 部 门 进行 的 独立 项 目 执 行 机 构 。 
就 PIA 具体 操作 而 言 ,PIA 由 加 拿 大 隐私 专员 办 公 室 
的 审计 和 合 规 工作 人 员 进 行 审查 ,后 者 不 批准 或 拒绝 ， 
但 对 所 采取 的 过 程 的 质量 提出 意见 。 同 样 地 ,根据 
(PIA 暂行 指令 》 第 8.1.1 条 ,财政 委员 会 秘书 处 还 将 
及 时 检查 已 批准 的 核心 PIA 的 内 容 , 以 确保 评估 完成 。 
财政 委员 会 秘书 处 不 批准 PIA ,而 仅 审 核 核心 PIA, 以 
履行 其 对 PIB 的 审核 和 批准 的 义务 。 不 过 ,根据 《PIA 
暂行 指令 》 第 8.1.4 条 ,财政 委员 会 秘书 处 每 年 审查 附 
录 C 中 的 “核心 PIA”, 以 确保 核心 PIA 保持 相关 性 ,并 
在 需要 时 提出 修订 建议 。 以 上 可 以 看 出 ,隐私 专员 办 
公 室 和 财政 委员 会 秘书 处 负责 审查 PIA, 但 不 批准 
PIA。 为 了 弥补 这 一 职责 空白 ,根据 《PIA 暂行 指令 》 文 
件 的 第 6.1 条 ,政府 机 构 负 责 人 负责 建立 PIA 开发 和 
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批准 流程 ,并 确保 由 机 构 内 负责 新 的 或 经 过 重大 修改 
的 计划 或 活动 的 高 级 官员 或 执行 人 员 完 成 PIA。 此 
外 ,《PIA 暂行 指令 ) 将 PIA 与 提交 给 财政 委员 会 的 项 
目 审批 和 资金 筹措 联系 起 来 ,这 也 是 加 拿 大 PIA 政策 
的 最 显著 特点 之 一 。 
3.2 劣势 分 析 

公共 政策 具有 主观 性 与 不 确定 性 。PIA 政策 是 政 
策 设计 者 通过 相应 部 门 的 行为 而 实现 其 目标 ,因而 这 
一 政策 是 否 成 功 ,取决 于 PIA 政策 设计 和 执行 。PIA 
政策 的 模糊 性 不 仅 限制 目标 ,也 影响 政策 手段 。 总 体 
来 看 ,加 拿 大 PIA 政策 在 目标 、 规 范 执行 方面 存在 模 
Hi 
3.2.1 PIA 政策 目标 设 定 模糊 
三 由 于 对 政府 服务 提供 过 程 中 未 来 隐私 问题 的 影响 
(RED, 财政 部 委员 会 被 赋予 了 制定 《PIA 政 
义 % 的 任务 ,以 作为 一 种 管理 工具 :确保 在 项 目 或 服务 
的 闪 计 或 重新 设计 过 程 中 考虑 隐私 ;评估 将 确定 提案 
在 瑚 大 程度 上 符合 所 有 适当 的 法 规 ;评估 帮助 管理 者 
和 和光 策 者 避免 或 减轻 隐私 风险 ,并 促进 充分 知情 的 政 
逢 计划 和 系统 设计 选择 。 同 样 地 ,根据 (PIA 暂行 
ES) MR C," Ecc PIA" 由 与 政策 和 法 律 合 规 性 直接 
KIX PIA 标准 化 要 素 组 成 。 可 见 ,这 可 以 解释 为 


向 隐私 专员 提供 评估 结果 的 副本 ,并 以 英语 和 法 语 两 
种 官方 语言 发 布 评估 结果 摘要 ,并 应 考虑 定期 出 版 和 
因特网 出 版 。 政 府 可 以 对 这 些 摘要 中 的 信息 进行 调 
整 , 以 删除 相关 法 律 规定 不 能 发 布 的 信息 或 那些 可 能 
会 使 系统 或 安全 措施 变 得 脆弱 的 信息 。 但 是 ,在 实践 
过 程 中 ,各 部 门 因 未 能 公布 隐私 影响 评 佑 的 执行 结果 
和 隐私 影响 评 佑 报告 的 信息 质量 而 达 不 到 要 求 。 


4 相关 政策 建议 


4.1 提高 政策 执行 人 员 技 能 

PIA 是 一 种 可 以 被 任何 处 理 个 人 信息 的 机 构 使 用 
的 技术 ,尤其 是 政府 ,因为 技术 部 门 更 适合 政府 。 进 行 
评估 和 完成 隐私 影响 报告 需要 各 种 各 样 的 技能 ,但 一 
个 人 不 必 掌 握 全 部 的 技能 。 进 行 评估 的 人 员 不 仅 需要 
具备 良好 的 分 析 和 写作 能 力 ,还 需要 熟悉 信息 隐私 和 
数据 保护 方法 。 如 果 个 人 不 具备 相关 的 技术 技能 或 经 
验 , 评 佑 人员 需要 能 够 吸收 与 项 目 相 关 的 文书 工作 ,并 
能 够 与 技术 人 员 相处 ,提出 相关 问题 ,能够 理解 答案 并 
将 其 转化 为 其 他 人 能 够 理解 的 PIA 报告 。 对 于 一 个 组 
织 而 言 ,一 个 善于 探究 的 头脑 和 ”横向 "思考 的 才能 是 
很 有 价值 的 。 可 见 , 为 了 提高 PIA 政策 执行 ,可 以 从 如 
下 方面 和 人手: 中 应 当 吸纳 擅长 如 下 技能 的 主体 :政策 制 


PI 和 只 是 一 种 合 规 性 的 行为 ,但 这 可 能 是 一 种 不 公平 
的 光 释 ,因为 如 上 所 述 ,该 指令 将 PIA 视 为 风险 管理 的 
QU 

一 部 分 ,即使 项 目 符合 法 律 ,也 可 能 产生 风险 。 


3:2 PIA 政策 规范 模糊 
〇 尽管 加 拿 大 的 PIA. 具有 对 政府 机 构 强制 性 的 优 
点 ,但 有 关 何 时 以 及 如 何 与 利益 相关 者 进行 协商 的 指 
导 方 针 尚 不 明确 。 同 样 地 ,也 不 清楚 为 什么 只 将 PIA 
的 摘要 发 布 在 机 构 的 网 站 上 ,而 不 是 像 英国 和 美国 的 
PIA 政策 中 问题 清单 功能 那样 完整 地 发 布 PIA, 但 用 户 
可 能 会 想 查看 这 样 的 清单 ,尤其 是 那些 仅 要求 是 否 做 
出 回应 的 行为 ,因为 与 风险 评估 的 实际 需求 不 一 致 的 
TR RE” T PIA 概念 。 例 如 ,美国 各 个 政府 部 门 都 
从 PIA 的 标准 化 和 工具 性 管理 理念 上 ,建立 个 人 隐私 
保护 指南 ,用 可 识别 的 方式 对 收集 .储存 保护、 分 享 和 
管理 信息 进行 分 析 , 以 确保 系统 的 使 用 者 和 相关 组 织 
意识 地 将 个 人 隐私 纳入 到 一 个 系统 的 生命 周期 管理 
Maipo, 
3.2.3 PIA 政策 执行 模糊 
MERK PIA 政策 要 求 , 加 拿 大 各 部 门 和 机 构 必 须 


定 、 运 营 计 划 和 业务 设计 、 技 术 和 专业 知识 、 风 险 和 合 
规 性 分 析 \ 程 序 和 法 律 。 忆 为 了 减 小 政策 执行 人 员 的 
"PIA 技能 差距 ” ,建议 鼓励 各 部 门 共享 PIA 工具 \ 模 板 
和 框架 。(3) 建 议 向 政策 执行 人 员 提 供 更 多 的 培训 和 指 
导 , 使 他 们 认识 到 在 PLA 政策 中 的 责任 ,并 为 他 们 提供 
进行 PIA 所 需 的 知识 和 技能 。 该 过 程 包括 规划 、 分 析 
和 教育 活动 ,以 及 具有 多 种 技能 ,以 识别 和 评估 隐私 影 
啊 。 这 些 技能 包括 隐私 专业 知识 .法律 专业 知识 .业务 
方案 和 业务 设计 技能 、 技 术 和 系统 专业 知识 以 及 信息 
和 记录 保存 技能 。 
4.2 尽早 制定 PIA 政策 

每 当 有 新 的 或 实质 性 改变 的 电子 政务 项 目 时 ,组 
织 都 应 完成 项 目 影响 评估 。 在 项 目 开 发 的 早期 进行 
PIA 是 最 有 用 的 ,因为 它们 可 以 在 设计 阶段 用 于 识别 
风险 和 解决 隐私 问题 。 延 迟 PIA 的 组 织 有 可 能 不 得 不 
对 计划 进行 昂贵 和 耗 时 的 更 改 , 以 确保 其 符合 个 人 隐 
私 保护 法 律 法 规 。PIA 使 公共 和 私人 机 构 能 够 做 出 明 
智 的 选择 。 通 常情 况 下 ,如 果 在 项 目 规划 的 早期 就 确 
定 了 增强 隐私 的 解决 方案 ,那么 实施 该 方案 的 难度 和 
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成 本 不 会 比 其 它 解决 方案 高 。PIA 表明 ,从 系统 开发 
的 初始 阶段 和 整个 信息 的 生命 周期 ( 即 收集 、 使 用 、 保 
留 .处 理 ,披露 以 及 销毁 ) 就 考虑 隐私 ,能 确保 隐私 保护 
从 一 开始 就 被 植 入 到 系统 中 ,而 不 是 事后 ,因为 这 样 做 
的 代价 可 能 要 高 得 多 ,或 者 可 能 会 影响 项 目的 可 行 性 。 
此 外 ,PIA 还 表明 ,系统 开发 人 员 和 所 有 者 已 经 做 出 了 
技术 选择 ,反映 了 将 隐私 纳入 基本 系统 架构 的 情况 。 
近年 来 , 随 着 个 人 信息 泄露 事件 频繁 爆发 ,中 国 开 
始 不 断 展 开 个 人 隐私 保护 制度 设计 。2020 年 5 月 25 
日 ,全 国人 大 常委 会 工作 报告 在 下 一 步 主要 工作 安排 
中 指出 ,今年 将 围绕 国家 安全 和 社会 治理 ,制定 个 人 信 
息 保护 法 ,数据 安全 法 。2020 年 5 月 28 日 ,第 十 三 
届 全 国人 民 代 表 大 会 第 三 次 会 议 通 过 了 《中 华人 民 共 
和 国民 法 典 ) 人 格 权 编 的 第 六 章 名 为 “隐私 权 和 个 人 
俏 生 保护”, 总 结 我 国 既 有 立法 经 验 (如 《网 络 安全 
VO 和 学 界 通 说 确立 了 隐私 权 和 个 人 信息 保护 的 基 
ABD, 2020 年 7 月 22 日 ,最 高 法 联合 国家 发 改 


委 。 共 同 发 布 (关于 为 新 时 代 加 快 完善 社会 主义 市 场 经 
洲 众 制 提供 司法 服务 和 保障 的 意见 》, 明 确 要 加 强 数据 
术 利 和 个 人 信息 安全 保护 ,依法 保护 数据 收集 .使 用 、 
交易 以 及 由 此 产生 的 智力 成 果 , 完 善 数据 保护 法 律 制 
pÉ, 2020 年 10 4 13 日 , 备 受 关注 的 个 人 信息 保护 
法 党 案 提请 十 三 届 全 国人 大 常委 会 第 二 十 二 次 会 议 审 
这 禾 定 对 处 理 短 感 个 信息 等 高 风险 处 理 活动 ,事前 
进行 风险 评估 '” 。《 信 息 安 全 技术 个 人 信息 安全 影 
Wii de RI) 指出 , 它 是 《个 人 信息 安全 规范 》 的 配套 
标 纺 ,借鉴 美 . 欧 等 国家 和 地 区 在 个 人 信息 安全 影响 评 
估 ( 国际 上 习惯 称 为 隐私 影响 评估 (PIA ) ) 方 面 最 新 的 
法 律 规定 .制度 设计 实践 做 法 ,以 国内 现 有 立法 ,行政 
法 规 . 标 准 要 求 为 出 发 点 ,提出 科学 有 效 符合 .信息 化 
发 展 需 要 、 具 有 明确 实施 指导 意义 的 个 人 信息 安全 影 
响 评 佑 指南“"。 即 便 如 此 ,这 个 文件 也 并 非 强制 性 标 
准 , 因 而 建议 我 国 在 《个 人 信息 保护 法 ) 或 《数据 安全 
法 》 中 进一步 完善 PIA 的 相关 规范 。 就 政策 内 容 而 言 ， 
应 当 包括 适用 情形 .规制 对 象 .隐私 风险 评估 模型 事 
先 咨 询 义 务 ;就 政策 制定 主体 而 言 ,应 当 吸 收 和 人大、 政 
府 .公民 等 政策 活动 者 ,从 而 确定 数据 控制 者 的 PIA X 
务 。 
4.3 加 强 PIA 政策 认同 

尽管 加 拿 大 PIA 政策 的 主要 目的 是 确保 隐私 保护 
在 项 目 目标 和 活动 的 初始 框架 中 是 一 个 关键 考虑 因 


素 , 但 即便 在 有 些 情况 下 有 证 据 表 明 计 划 或 服务 交付 
可 能 会 产生 隐私 问题 , PIA 可 能 依旧 根本 无 法 完成 。 
虽然 隐私 问题 在 政府 YT. 项 目的 威胁 和 风险 分 析 中 明 
显 显现 出 来 ,对 于 涉及 机 构 间 和 路 区 域 的 个 人 信息 流 
动 的 项 目 , 隐 私 保护 的 考虑 要 少 得 多 。 一 些 加 拿 大 政 
府 机 构 已 经 积极 努力 来 实施 PIA 政策 ,但 还 需要 更 多 
的 努力 来 确保 政策 达到 预期 效果 ,也 就 是 说 ,提高 对 
PIA 政策 中 与 项 目 和 服务 交付 相关 的 隐私 影响 的 认识 
和 理解 。 因 此 ,一 方面 ,需要 提高 对 PIA. 的 认识 。 认 知 
属于 精神 层面 ,能 够 有 效 预 测 满足 与 认同 。 通 过 提高 
对 PIA 政策 的 认 知 ,从 而 通过 相关 价值 评 佑 形成 信念 
后 ,会 直接 影响 PIA 政策 的 认同 度 。 对 具体 机 构 来 说 ， 
有 许多 益处 :PIA 允许 机 构 充 分 评 佑 其 信息 共享 计划 
中 的 隐私 风险 ; 它 为 制定 全 面 有 效 的 信息 保护 政策 竟 
定 了 基础 ,同时 最 大 限度 地 利用 技术 基础 设施 和 数据 
共享 机 会 ;PIA 帮助 组 织 审查 提议 计划 的 意图 ,识别 和 
防止 超出 信息 搜集 预期 目的 的 扩展 ,审查 和 接受 风险 ， 
制定 政策 ,并 确定 组 织 中 负责 处 理 个 人 信息 的 职位 ; 它 
们 还 创建 文档 ,根据 要 求 告 知 个 人 其 个 人 信息 收集 、 使 
和 披露 的 地 点 和 时 间 。 另 一 方面 ,政策 制定 主体 需 
要 全 面 认定 诸如 数据 控制 者 、 数 据 利 用 者 等 PIA 政策 
的 利益 相关 者 ,从 而 制定 符合 公平 正义 的 PIA 政策 , 提 
高 政策 主体 对 PIA 政策 的 支持 与 认同 。 这 是 因为 , 作 
为 一 项 政策 ,PIA 政策 会 涉及 不 同 的 利益 相关 者 ,而 它 
们 会 基于 自身 特质 ,分 别 诉求 自身 利益 ,但 不 同 的 利益 
相关 者 可 能 获得 利益 ,但 也 可 能 有 相应 损失 。 
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Canadian Privacy Impact Assessment Policy: History, Content, Analysis and Implications 
Chen Mei' Liang Yikai 
! School of Public Administration, Zhongnan University of Economics and Law, Wuhan 430073 
? School of Management Science and Engineering, Shandong University of Finance and Economics, Jinan 250014 
Abstract: | Purpose/significance | From the perspective of policy, this paper investigates the policy support of 
the privacy impact assessment in Canada to provide reference for the policy formulation of the privacy impact assess- 
"miént in China and provide tools for the government to protect citizens? privacy. | Method/process | Using the re- 
arch methods of literature research and case analysis, taking Canada as an example, this paper expounded the de- 
Gielopment process of the privacy impact assessment policy in Canada by obtaining first-hand materials through the in- 
cvestigation of literature and website contents, and sorted out the policy objectives, policy subjects and policy con- 
Gehts. On this basis, it analyzed the advantages and disadvantages of the privacy impact assessment policy in Canada. 


esult/conclusion | This paper puts forward suggestions on improving the skills of policy executives, formulating 
policies as early as possible, and strengthening the identification of PIA policies. 


N Keywords: privacy impact assessment Canada government open data privacy risk 
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